マイクロソフトは8月16日,昨日公開したセキュリティアドバイザリを更新し,特定のレジストリ・キーの値を変更することでも「Zotob」ワームに感染しないようにできることを追記した。ただし,現在稼働中のアプリケーションや運用に影響を及ぼす可能性があるとして,広範囲なテストを行わない限りは,レジストリの変更を推奨しないとしている。このため「MS05-039」のパッチを適用することが最善の対策だと考えたほうがよい。
8月15日以降,マイクロソフトやセキュリティ・ベンダー/組織は,Windowsのセキュリティ・ホール「プラグ アンド プレイ の脆弱性により,リモートでコードが実行され,特権の昇格が行なわれる (899588) (MS05-039)」を突いて感染を広げる「Zotob」ワームを警告している(関連記事)。
現在のところ大規模な感染被害は確認されていないものの,変種が次々と出現している模様なので注意が必要。米SANS Instituteによれば,ネットワーク経由に加え,メールでも感染を広げる変種が見つかっているという(メールに添付されている場合には,添付ファイルを実行しなければ感染しない)。
マイクロソフトでは8月15日に公開した「セキュリティ アドバイザリ (899588)」において,パッチの適用やTCPポート445番などの遮断がZotob対策になると公表していたが,今回,新たな対策方法を追記した。匿名接続(nullセッション)を無効にすることでもZotobの感染を防げるという。
具体的には,「RestrictAnonymous」レジストリ・キーの値を2に変更して匿名接続を無効にすれば,匿名ユーザー(権限を持たないユーザー)にリモートから「MS05-039」を突かれることはなくなる(Windows 2000はデフォルトで匿名接続が有効)。つまり,Zotobなどに感染することはなくなる。匿名接続を無効にする方法は,「Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法」に詳しい。
ただし,匿名接続を無効にすると,多数のアプリケーションで互換性の問題が発生する可能性があるとして,マイクロソフトでは「各環境にて広範囲なテストを行わない限り,この設定を運用環境にて有効にすることをお客様に推奨しません」としている。
このため当初から言われているように,「パッチの適用」や「TCPポート445番などの遮断」,「ウイルス対策ソフトの利用」——などで対応したほうが無難である。なお,Zotobは感染を広げるためにFTPサーバーとして動作する“機能”があり,そのときにはTCPポート33333番でアクセスを待ち受けるとされている。このため同ポートを防ぐことが対策の一つとして挙げられているが,SANS Instituteでは,「新たに出現した変種では,別のポートを使う場合がある」として注意を呼びかけている。
◎参考資料
◆セキュリティ アドバイザリ (899588)
